确定提供仿冒服务的网络服务器的方法、设备及计算设备技术

本发明专利技术公开了一种确定提供仿冒服务的网络服务器的方法，包括步骤：获取第一预定时间段内的域名解析记录；获取域名解析记录对应的多个域名、以及每个域名的解析次数；筛选出解析次数最低的预定数量个域名；获取预定数量个域名在第二预定时间段内的至少一条域名解析记录；根据预定数量个域名在第二预定时间段内的域名解析记录，最后筛选出其中仅在第二预定时间段中的第三预定时间段内存在域名解析记录的至少一个域名；对于所筛选出的至少一个域名中的域名，获取该域名对应的网络服务器的IP特征、域名特征、内容特征；根据上述特征，采用分类模型确定网络服务器是否提供仿冒服务。本发明专利技术还公开一种确定提供仿冒服务的网络服务器的设备及计算设备。

【技术实现步骤摘要】

本专利技术涉及信息安全
，尤其涉及一种确定提供仿冒服务的网络服务器的方法、设备及计算设备。
技术介绍
随着网络通信技术的迅速发展、互联网应用的持续深化、所承载信息的日益丰富，互联网已成为人类社会重要的基础设施。与此同时，各种危害网络安全的事件层出不穷，引发了社会对网络安全的极大关注。其中，存在一些不法网络服务器的运营者，通过将网络服务器的域名或提供的网络内容伪装的与正规网络服务器的域名或网络内容非常相似的方式，引诱用户访问，骗取用户信任，并损害用户利益。而由于电子商务和互联网应用的普及和发展，这种提供仿冒服务的犯罪行为造成的损失日益严重。目前，可以通过黑名单技术、基于URL特征的检测技术、基于网络内容包含的图片相似度的检测技术来判断网络服务器是否提供仿冒服务。黑名单技术是通过用户举报或评价来维护一个不断更新的提供仿冒服务的网络服务器的名单列表，从而阻止更多的用户不要访问已发现的提供仿冒服务的网络服务器。基于URL特征的检测技术，通常是使用正则表达式来匹配URL特征，但正则表达式需要手动添加规则，使用和维护成本高，同时其使用有风险，可能产生未知的误报和漏报。此外，此种方式往往用于初步检测，最终的判定一般也要基于网络内容。基于网络内容包含的图片相似度的检测技术需要进行大量的图片比较，计算复杂度高，并且如果两个网络服务器提供的网络内容使用相似的设计方案(如Bootstrap模板)和设计元素(相同或相似的图标)，则容易产生误报。因此，迫切需要一种更先进的更有效的确定提供仿冒服务的网络服务器的方案。
技术实现思路
为此，本专利技术提供一种确定提供仿冒服务的网络服务器的方案，以力图解决或者至少缓解上面存在的至少一个问题。根据本专利技术的一个方面，提供了一种确定提供仿冒服务的网络服务器的方法，适于在计算设备中执行，网络服务器具有IP地址和域名，并提供网络内容，方法包括步骤：从域名服务器获取第一预定时间段内的域名解析记录；获取域名解析记录对应的多个域名、以及每个域名的解析次数；筛选出解析次数最低的预定数量个域名；从域名服务器获取所筛选出的预定数量个域名在第二预定时间段内的至少一条域名解析记录；根据预定数量个域名在第二预定时间段内的域名解析记录，最后筛选出其中仅在第二预定时间段中的第三预定时间段内存在域名解析记录的至少一个域名；对于所筛选出的至少一个域名中的域名，获取该域名对应的网络服务器的IP特征、域名特征、以及内容特征；以及根据提取的特征，采用分类模型确定网络服务器是否提供仿冒服务。根据本专利技术的另一方面，提供了一种确定提供仿冒服务的网络服务器的设备，网络服务器具有IP地址和域名，并提供网络内容，设备包括：记录获取模块，适于从域名服务器获取第一预定时间段内的域名解析记录；还适于从域名服务器获取所筛选出的预定数量个域名在第二预定时间段内的至少一条域名解析记录；域名筛选模块，适于：获取第一预定时间段内的域名解析记录对应的多个域名、以及每个域名的解析次数；筛选出解析次数最低的预定数量个域名；还适于：根据预订数量个域名在第二预定时间段内的域名解析记录，最后筛选出其中仅在第二预订时间段中的第三预定时间段内存在域名解析记录的至少一个域名；特征提取模块，适于对于所筛选出的至少一个域名中的域名，获取该域名对应的网络服务器的IP特征、域名特征、以及内容特征；以及仿冒判断模块，适于根据提取的特征，采用分类模型确定网络服务器是否提供仿冒服务。根据本专利技术的还有一个方面，提供了一种计算设备，包括根据本专利技术的确定提供仿冒服务的网络服务器的设备。根据本专利技术的确定提供仿冒服务的网络服务器的方案，同过多次筛选，筛选出访问量较低、活跃时间较短的域名，并获取该域名对应的网络服务器的域名特征、IP特征和内容特征，根据这些多维度的特征采用分类模型进行是否提供仿冒服务的判断，过程高度自动化，大大减少了人工干预，同时特征维度广，准确度高，有效避免了误报和漏报。附图说明为了实现上述以及相关目的，本文结合下面的描述和附图来描述某些说明性方面，这些方面指示了可以实践本文所公开的原理的各种方式，并且所有方面及其等效方面旨在落入所要求保护的主题的范围内。通过结合附图阅读下面的详细描述，本公开的上述以及其它目的、特征和优势将变得更加明显。遍及本公开，相同的附图标记通常指代相同的部件或元素。图1示出了根据本专利技术的一个示例性实施方式的网络服务系统100的结构框图；图2示出了根据本专利技术的一个示例性实施方式的计算设备200的结构框图；图3示出了根据本专利技术的一个示例性实施方式的确定提供仿冒服务的网络服务器的设备300的结构框图；以及图4示出了根据本专利技术的一个示例性实施方式的确定提供仿冒服务的网络服务器的方法400的流程图。具体实施方式下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。图1示出了根据本专利技术一个示例性实施方式的网络服务系统100的结构框图。网络服务系统100可以包括客户端110、域名服务器120以及网络服务器130。网络服务器130具有IP地址和域名，并可以向用户提供网络内容。用户可以通过客户端110向网络服务器130发送访问请求，请求访问网络服务器130上的网络内容。其中，在向网络服务器130发送访问请求之前，客户端110首先需要向域名服务器120发送域名解析请求，请求域名对应的网络服务器130的IP地址。域名服务器120响应于客户端110的域名解析请求，返回IP地址至客户端110。同时，可以理解地，域名服务器120会基于客户端110的域名解析请求生成相应的域名解析记录并存储，域名解析记录可以包括解析时间、请求解析的域名、域名对应的网络服务器130的IP地址。计算设备200可以通过网络与域名服务器120和网络服务器130连接，可以获取域名服务器120上存储的域名解析记录，并至少根据域名解析记录确定那些提供仿冒服务的网络服务器。计算设备200可以实现为服务器，例如文件服务器、数据库服务器、应用程序服务器和WEB服务器等，也可以实现为包括桌面计算机和笔记本计算机配置的个人计算机。此外，计算设备200还可以实现为小尺寸便携(或者移动)电子设备的一部分，这些电子设备可以是诸如蜂窝电话、个人数字助理(PDA)、个人媒体播放器设备、无线网络浏览设备、个人头戴设备、应用专用设备、或者可以包括上面任何功能的混合设备。图2示出了根据本专利技术一个示例性实施方式的实现本专利技术方案的计算设备200的结构框图。在基本的配置202中，计算设备200典型地包括系统存储器206和一个或者多个处理器204。存储器总线208可以用于在处理器204和系统存储器206之间的通信。取决于期望的配置，处理器204可以是任何类型的处理，包括但不限于：微处理器((μP)、微控制器(μC)、数字信息处理器(DSP)或者它们的任何组合。处理器204可以包括诸如一级高速缓存210和二级高速缓存212之类的一个或者多个级别的高速缓存、处理器核心214和寄存器216。示例的处理器核心214可以包括运算逻辑单元(ALU)、本文档来自技高网...

【技术保护点】
一种确定提供仿冒服务的网络服务器的方法，适于在计算设备中执行，所述网络服务器具有IP地址和域名，并提供网络内容，所述方法包括步骤：从域名服务器获取第一预定时间段内的域名解析记录；获取所述域名解析记录对应的多个域名、以及每个域名的解析次数；筛选出解析次数最低的预定数量个域名；从域名服务器获取所筛选出的预定数量个域名在第二预定时间段内的至少一条域名解析记录；根据所述预定数量个域名在第二预定时间段内的域名解析记录，最后筛选出其中仅在第二预定时间段中的第三预定时间段内存在域名解析记录的至少一个域名；对于所筛选出的至少一个域名中的域名，获取该域名对应的网络服务器的IP特征、域名特征、以及内容特征；以及根据提取的特征，采用分类模型确定所述网络服务器是否提供仿冒服务。

【技术特征摘要】
1.一种确定提供仿冒服务的网络服务器的方法，适于在计算设备中执行，所述网络服务器具有IP地址和域名，并提供网络内容，所述方法包括步骤：从域名服务器获取第一预定时间段内的域名解析记录；获取所述域名解析记录对应的多个域名、以及每个域名的解析次数；筛选出解析次数最低的预定数量个域名；从域名服务器获取所筛选出的预定数量个域名在第二预定时间段内的至少一条域名解析记录；根据所述预定数量个域名在第二预定时间段内的域名解析记录，最后筛选出其中仅在第二预定时间段中的第三预定时间段内存在域名解析记录的至少一个域名；对于所筛选出的至少一个域名中的域名，获取该域名对应的网络服务器的IP特征、域名特征、以及内容特征；以及根据提取的特征，采用分类模型确定所述网络服务器是否提供仿冒服务。2.如权利要求1所述的方法，其中，所述IP特征包括IP地址数量的倒数，所述获取该域名对应的网络服务器的IP特征的步骤包括：从域名服务器查询该域名对应的至少一个IP地址；以及根据所述至少一个IP地址确定所述网络服务器的IP地址数量的倒数。3.如权利要求2所述的方法，其中，所述计算设备与IP数据存储设备相耦接，所述IP数据存储设备存储有已知的IP地址、该IP地址是否恶意、以及所属的地区和运营商，所述IP特征还包括IP地址地区恶意比率；所述获取该域名对应的网络服务器的IP特征的步骤包括：对所述域名对应的至少一个IP地址中的每一个：从IP数据存储设备获取与该IP地址属于同一地区和运营商的IP地址数量、以及其中的恶意IP地址数量；根据恶意IP地址数量与IP地址数量，计算该IP地址所属地区和运营商的IP地址地区恶意比率；选取其中数值最大的一个作为所述网络服务器的IP地址恶意比率。4.如权利要求3所述的方法，其中，所述IP特征还包括IP地址是否恶意，所述获取该域名对应的网络服务器的IP特征的步骤包括：判断所述域名对应的至少一个IP地址中的任意一个是否属于所述IP数据存储设备中的恶意IP地址；以及若是，则确定所述网络服务器的IP地址是恶意，否则不是恶意。5.如权利要求2-4中任一项所述的方法，其中，所述计算设备与域名反查设备相耦接，所述域名反查设备存储有已知的IP地址和与该IP地址相关联的域名，所述计算设备还与所述域名查询设备相耦接，所述域名特征包括域名信息相似度；所述获取该域名对应的网络服务器的域名特征的步骤包括：从所述域名查询设备获取该域名的域名数据；从所述域名反查设备获取所述域名对应的至少一个IP地址...

【专利技术属性】
技术研发人员：张通，
申请(专利权)人：北京知道创宇信息技术有限公司，
类型：发明
国别省市：北京;11